Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Всплывающее окно во всех браузерах (http://forum.oszone.net/showthread.php?t=210001)

Shnurkov 27-06-2011 23:10 1702621
Всплывающее окно во всех браузерах
 
Вложений: 3
Во всех браузерах всплывает окно "В системе обнаружен вирус, использование интернета не желательно...." Многие сайты не открываются вообще или отображаются неправильно, видны некоторые html тэги. Ютуб подменяется на нечто, требующее смс и т.д.
Что делал. В системе стоит касперский, обновил базы, прогнал, не помогло, прогнал CureItом, не помогло, прогнал загрузочными дисками от касперского и доктор веба, находит что-то но проблему не решает. Нашел в нете кучу подобных проблем со скриптами для AVZ, ни один не решил проблему.
Malwarebytes' Anti-Malware прогонял, удалил все, что ему не понравилось - не помогло
Аналогично ATF Cleanerом удаил все

alex_sev 28-06-2011 11:05 1702824
Введите в командной строке

Код:
route -f
перезагрузите компьютер, изменения есть?

Shnurkov 28-06-2011 16:31 1703067
Нет изменений

alex_sev 28-06-2011 17:36 1703106
Выполните 4 стандартный скрипт в AVZ полученный архив из папки LOG пришлите на severnyj (at) mail.ru где (at) = @, если архив будет слишком большим залейте на файлообменник и выложите ссылку.

Подготовьте лог HiJackThis http://forum.oszone.net/thread-177677.html

Shnurkov 28-06-2011 19:51 1703182
Вложений: 1
http://narod.ru/disk/17454334001/vir...ER-XP.zip.html

alex_sev 28-06-2011 21:57 1703250
Выполните скрипт в AVZ

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\2B.tmp','');
 QuarantineFile('C:\WINDOWS\system32\12.tmp','');
 DeleteFile('C:\WINDOWS\system32\2B.tmp');
 DeleteFile('C:\WINDOWS\system32\12.tmp');
 DelCLSID('>{KMPlayer}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте с помощью этой формы http://www.oszone.net/virusnet/ с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT

Код:
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://DreamLair.net
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Удалите в MBAM

Код:
c:\WINDOWS\system32\SaveHWID.exe (Trojan.Glox) -> No action taken.
c:\WINDOWS\system32\savehwids.exe (Trojan.Glox) -> No action taken.
c:\WINDOWS\system32\ssFields.scr (Malware.Packer.Gen) -> No action taken.
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

Shnurkov 29-06-2011 00:03 1703328
Вложений: 1
в hjt строки пофиксил
в mbam я удали все, что он нашел ( в т.ч. кейгены и кряки ) еще до того, как запостил здесь тему. Повторить проверку?
После комбофикса инет пропал вообще. При этом могу нормально зайти по 192.168.1.1 на адсл модем, но в нет не пускает даже если писать адреса айпишниками.
Разумеется перезагружался.
Да, еще после комбофикса куда-то сбрило асперского.
А нет, обманул, после очередной перезагрузки и инет и касперский вернулись.
Но страницы открываются только если притушить касперкого, на главную ютуба стало заходить, но не открывается куча сайтов, в т.ч. и ни одна страничка кроме главной с ютуба не грузится вообще, да и окошко всплывающее все там же, что б его.
Не заметил, что вы написали скрипт для авз :(
Сильно критично, что я его вполнил в последнюю очередь?

thyrex 29-06-2011 00:50 1703354
Сделайте лог TDSSkiller
Возможно он решит проблему с браузерами

Shnurkov 29-06-2011 22:00 1703879
Вложений: 1
после tdsskillera (убил то, что ему не понравилось) сайты стали открываться вроде все и окно это гадское пока не всплывает, но я еще мало времени тестил.
Но по прежнему инет работает только без касперского. Пока он включен не работают ни браузеры, ни другой софт, типа мэйл агента. При запуске ие касперский сейчас ругается, что обнаружена попытка запуска браузера с параметрами командной строки или как-то так. Могу напечатать точно, если это поможетв диагностике проблемы.

thyrex 30-06-2011 01:03 1703956
Цитата:
Цитата Shnurkov
обнаружена попытка запуска браузера с параметрами командной строки или как-то так »
Проверьте в ярлыке запуска браузера, нет ли какого-либо "хвоста" после имени файла браузера

Shnurkov 30-06-2011 09:49 1704098
Нету, при запуске браузера непосредственно из папки program files касперский говорит то же самое. А если файл iexplore.exe переименовать, то он не запускается вообще, в то время как на здоровой системе такого не наблюдается. Похоже тут зверинец целый завелся :(

Shnurkov 30-06-2011 10:14 1704118
Пытался переставить виндовс поверх, мало ли, вдруг поможет, но он обновляться отказался, сославшись на некие различия в файлах ядра. Из-за заразы ли это или из-за того, что там установлена неизвестная мне сбора, я не знаю. Ставить пытался чистую XP VLK SP3

alex_sev 30-06-2011 10:17 1704121
Цитата:
Цитата Shnurkov
При запуске ие касперский сейчас ругается, что обнаружена попытка запуска браузера с параметрами командной строки или как-то так. Могу напечатать точно, если это поможетв диагностике проблемы. »
Если можно, давайте поподробнее.

Сделайте еще

такой и такой логи.

Shnurkov 30-06-2011 18:31 1704563
Вложений: 1
Попытка запуска браузера с ключами командной сроки: "C:\Program Files\internet explorer\iexplore.exe" SCODEF:3808 CREDAT:79873
Логи сейчас подготовлю....

iskander-k 30-06-2011 21:29 1704677
Обновите базы АВЗ и повторите логи.

akok 30-06-2011 22:02 1704694
Выполните скрипт UVS и пришлите карантин.
Код:
;uVS v3.66 script [http://dsrt.dyndns.org]
zoo %SystemDrive%\ntldr
zoo %Sys32%\LOGONUI.EXE
zoo %Sys32%\NOTEPAD.EXE
zoo %Sys32%\NTSD.EXE
zoo %SystemRoot%\REGEDIT.EXE
zoo %Sys32%\TASKMGR.EXE
zoo %SystemDrive%\PROGRAM FILES\OPERAAC\PROGRAM\PLUGINS\OBOOK.DLL
zoo %SystemDrive%\PROGRAM FILES\OPERAAC\PROGRAM\PLUGINS\NP-MSWMP.RAR

Shnurkov 30-06-2011 22:06 1704698
Вот логи, но по ходу буду форматировать диск С и переставлять винду

alex_sev 30-06-2011 22:13 1704702
Уже включили коллективный разум по Вашей проблеме :)

Цитата:
Цитата Shnurkov
но по ходу буду форматировать диск С и переставлять винду »
Форматирование может и не помочь, если заражены буткитом http://ru.wikipedia.org/wiki/Буткит

Так что давайте сначала попробуем долечить.

Попробуйте еще эти средства:

http://safezone.cc/forum/showthread.php?t=54

Shnurkov 30-06-2011 22:59 1704740
результат выполнения скрипта UVSa
http://narod.ru/disk/17707606001/ZOO.zip.html

Из тех средств я разве что авиру пока не пробовал. щас прогоню для очистки совести....

А так был бы комп мой, я бы ждал, а комп приятеля, звонит, волнуется. Просит просто переставить винду..... Ну придержу сколько смогу, самому интересно доделать, я такого еще не встречал.

alex_sev 01-07-2011 16:57 1705287
Есть еще мысль - очистить кэш всех браузеров и временные файлы, например с помощью CCleaner, еще лучше в безопасном режиме.

Потом еще разик Combofix повторите лог.

iskander-k 01-07-2011 19:32 1705355
Цитата:
Цитата alex_sev
очистить кэш всех браузеров и временные файлы »
Отключите интернет и локальную сеть если таковая имеется.
[*]Очистите временные файлы.
Очистите временные файлы через Пуск - Программы - Стандартные - Служебные - Очистка диска или с помощью ATF Cleaner.
• Скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
• Если вы используете Firefox, нажмите Firefox - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.
• Если вы используете Opera, нажмите Opera - Select All - Empty Selected.
• Нажмите No, если вы хотите оставить ваши сохраненные пароли.

Shnurkov 01-07-2011 20:27 1705373
Чистил кэш я уже и не раз...
В общем всем спасибо, снес систему, поставил новую, вроде пока все ок

alex_sev 01-07-2011 21:35 1705398
Жаль не управились, таких заражений достаточно, в том числе и за рубежом, хотелось бы поймать зловреда, для облегчения подобных лечений.


Время: 13:40.

Время: 13:40.
© OSzone.net 2001-